Cuando los clientes tienen decenas de aplicaciones y cuentas, mantener un gobierno de las políticas de IAM, requiere un esfuerzo adicional.
Un punto de partida podría ser que cada equipo genere su AWS CloudFormation Template (infraestructura como código) con las políticas de IAM que quiere crear, que el equipo de seguridad las revise, las apruebe, las documente en un repositorio (git/cvs) y las cree.
Para darle mayor autonomía a los grupos de desarrollo y reducir la carga operativa del equipo de seguridad, es conveniente que ellos puedan proponer la creación de una nueva política de IAM según su necesidad (respetando las reglas de mínimo privilegio ), y que una función de AWS Lambda del equipo de seguridad verifique que se están pidiendo accesos razonables en la organización (por ejemplo, validar que no tenga … “Action”: “*” … o … “Resource”: “*” …).
Luego seguridad puede aprobar el rol de modo manual o automático según el ambiente o las políticas corporativas, y que sea creado.
AWS CodePipeline permite no solo la orquestación de los pasos para un ciclo continuo una aplicación, sino que se pude utilizar también para construir las políticas de IAM en modo continuo.
How to manage security governance using DevOps methodologies